home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1993 #3 / NN_1993_3.iso / spool / comp / sys / novell / 11895 < prev    next >
Encoding:
Text File  |  1993-01-25  |  5.3 KB  |  113 lines
  1. Newsgroups: comp.sys.novell
  2. Path: sparky!uunet!pmafire!mica.inel.gov!ux1!fcom.cc.utah.edu!gateway.univel.com!ns.novell.com!ithaca.Eng.Sandy.Novell.COM!mmm
  3. From: Mark_Muhlestein@Novell.COM (Mark Muhlestein)
  4. Subject: Re: Novell 3.11 security pitfalls?
  5. Message-ID: <C1FDLo.GDt@Novell.COM>
  6. Keywords: security 
  7. Sender: usenet@Novell.COM (Usenet News)
  8. Nntp-Posting-Host: ithaca.eng.sandy.novell.com
  9. Organization: Novell, Inc.
  10. References: <133.2b55826e@forthd.uucp> <will.727121387@ogre> <1993Jan15.211306.15694@umr.edu>
  11. Date: Mon, 25 Jan 1993 19:46:35 GMT
  12. Lines: 99
  13.  
  14.  
  15. Speaking for myself, and not as an official spokesperson for Novell, I
  16. would like to make a few comments about the security issues Brett
  17. Frankenberger brings up.  After pointing out (correctly) that
  18. monitoring the entire login session would not allow a security breach,
  19. he states:
  20.  
  21. >It would ALSO be necessary, in addition to monitoring the wire from the
  22. >time NETX was run, to monitor the wire when the user changed his
  23. >password.)
  24.  
  25. This is a bit misleading in that at no time is the unencrypted
  26. password sent on the wire.
  27.  
  28. >To be totally secure, a method whereby I can monitor EVERYTHING EVER
  29. >SENT between a workstation and the server, and still not get in, would
  30. >be required.  (Of course, physically access is another issue).  So far,
  31. >Novell does NOT have such a method, but they have made it VERY
  32. >difficult to get in.  NetWare is not perfect, but it is VERY secure.
  33.  
  34. Novell has announced a future (1st half 1993) product which will
  35. support packet encryption.  We believe this can be done with reasonable
  36. performance, and it will provide a significant security enhancement for
  37. those who need it.
  38.  
  39. >Unfortunately, some people, including me, will be forced to wonder what
  40. >other loopholes out there.  It seems to me that Novell needs to revamp
  41. >its security policy.
  42.  
  43. Although I can't speak for Novell, I think it is fair to say that the
  44. company has been constantly increasing its concern for security.  The
  45. only "policy" I know about here on the technical side of the company is
  46. that when problems are found, we fix them.  The 4.0 release has several
  47. very significant improvements in the security arena, and many of these
  48. will be made available in maintenance upgrades to the 3.x products.
  49.  
  50. As far as publishing known "loopholes" it is well to remember that
  51. there is a tension between the virtues of open dissemination of
  52. information on the one hand, and concern for the security of the
  53. installed base on the other.  I understand that there is some
  54. controversy on this point.  But if I were the manufacturer of a safe
  55. with a large customer base, and I discovered in-house that there was a
  56. problem in the mechanism which allowed the safe to be opened by (say)
  57. spinning the combination knob rapidly for 30 seconds, I would be very
  58. hesitant to publish this fact before I was ready to provide a solution
  59. to my customers.  And I think my customers would agree, if no one
  60. had any reason to believe that anyone other than the manufacturer knew
  61. about the weakness.  The problem is that there is no reliable way of
  62. informing the "good guys" without also giving potentially damaging
  63. information to the "bad guys".
  64.  
  65. >I think there is plenty of evidence that Novell knew about the hole
  66. >that KNOCK.EXE exploited before KNOCK.EXE was released, and chose not
  67. >to tell anyone, in hopes that no one would discover it and that way
  68. >they would never have to admit there was a loophole.  It seems that
  69. >they got a patch out pretty fast, if they had no advance knowledge.
  70.  
  71. This is not true.  The problem KNOCK.EXE exploited was a bug in the 3.0
  72. and 3.1 password checking code which was not known until after it was
  73. found by customers.  The patch merely fixed the bug, and 3.11 and 2.2
  74. incorporated the fix in their initial release.
  75.  
  76. >Of course, this is not proof, as Novell does have plenty of sharp
  77. >programmers.
  78.  
  79. Of course! :-)
  80.  
  81. >But, consider than 3.11 and 2.2 do NOT have the problem.  Did it just
  82. >coincidentally disappear, or did they know there was a weakness, and
  83. >fix it in future versions, but say nothing about it in hopes the public
  84. >would never discover?
  85.  
  86. You seem to have your facts confused here.  As I explained above, the
  87. reason 3.11 and 2.2 don't have the problem is that it was found and
  88. fixed before they were released.
  89.  
  90. As far as HACK.EXE is concerned, obviously, forging packets is a known
  91. security attack.  As Ron Holt mentioned the first time this topic came
  92. up, a similar kind of attack as that used by HACK.EXE has been used to
  93. exploit a weakness in the Unix NFS/YP security scheme (see the October
  94. 1992 issue of Computer Communication Review).  An approach to this
  95. problem was contemplated for future release, but we were convinced that
  96. we needed to implement it sooner than we originally planned because of
  97. the publishing of HACK.EXE.
  98.  
  99. >Perhaps I am wrong, but I am of the opinion that if Novell were to
  100. >discover a security hole today, they would patch it, and keep the
  101. >patch, ready to release if anyone else disocvers the hole.
  102. >
  103. >       - Brett
  104.  
  105. Again, I can't speak for Novell, but why would anyone do this?  The
  106. problems we have had in the past have been corrected as expeditiously
  107. as possible, within the constraints of normal, accepted software
  108. development methodology.  Our current products provide excellent
  109. network security.  With the new products coming soon, I believe we will
  110. continue a leadership role in this important area.
  111.  
  112. Mark_Muhlestein@novell.com
  113.